{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Die SIMATIC S7 ist eine Serie von SPS (Speicherprogrammierbare Steuerungen) für Automatisierungsanwendungen.\r\nSTEP 7 ist eine Software zur Programmierung von speicherprogrammierbaren Steuerungen (SPS) der SIMATIC-S7-Familie.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Siemens SIMATIC S7 und Siemens SIMATIC STEP 7 ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- BIOS/Firmware",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-1433 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1433.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-1433 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1433"
    }, {
      "category" : "external",
      "summary" : "Siemens Security Advisory vom 2023-06-12",
      "url" : "https://cert-portal.siemens.com/productcert/html/ssa-968170.html"
    } ],
    "source_lang" : "en-US",
    "title" : "Siemens SIMATIC S7: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Administratorrechten",
    "tracking" : {
      "current_release_date" : "2023-06-12T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:52:19.618+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-1433",
      "initial_release_date" : "2023-06-12T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-06-12T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Siemens SIMATIC S7 PM",
        "product" : {
          "name" : "Siemens SIMATIC S7 PM",
          "product_id" : "T028070",
          "product_identification_helper" : {
            "cpe" : "cpe:/h:siemens:simatic_s7:pm"
          }
        }
      }, {
        "category" : "product_name",
        "name" : "Siemens SIMATIC STEP 7 < 5.7",
        "product" : {
          "name" : "Siemens SIMATIC STEP 7 < 5.7",
          "product_id" : "T019768",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:siemens:simatic_step_7:v5.7"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Siemens"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-25910",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Siemens SIMATIC S7 und Siemens SIMATIC STEP 7. Der Fehler besteht aufgrund einer unsachgemäßen Kontrolle der Codegenerierung. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Code mit erhöhten Rechten auf dem Server des Datenbankmanagementsystems auszuführen."
    } ],
    "product_status" : {
      "known_affected" : [ "T028070" ]
    },
    "release_date" : "2023-06-12T22:00:00.000+00:00",
    "title" : "CVE-2023-25910"
  } ]
}